CompTIA Security+ E-Book

1.1  Das Ziel dieses Buches

Laras Welt ist in Ordnung. Und für viele andere ist sie das auch, selbst wenn sie sich keine großen Gedanken über die Informatik machen, da sie diese als Instrument für ihre Arbeit nutzen und nicht als zentrales Thema um seinetwillen betrachten.

Oder denken Sie an IT, wenn Sie von einer Öl-Pipeline lesen? Und doch hat im Mai 2021 ein ebensolcher Angriff auf die IT-Systeme der größten amerikanischen Versorgungslinie dafür gesorgt, dass die Versorgungslinie selbst aus Sicherheitsgründen für mehrere Tage abgeschaltet werden musste. Und dies, obwohl durch diese Leitung mehr als 40 % der gesamten an der Ostküste verbrauchten Kraftstoffe laufen.

Oder denken Sie zuerst an IT, wenn Ihre Zeitung am Morgen nicht erscheint? So geschehen in Deutschland, als im April 2021 nach einem Hackerangriff zahlreiche Zeitung und Online-Portale der Madsack-Mediengruppe nicht mehr erreichbar waren oder Zeitungsteile über Tage nur in reduziertem Umfang produziert werden konnten.

Die Liste solcher und anderer Angriffe auf Unternehmen lässt sich mittlerweile täglich erweitern. Und die Folgen sind für die Unternehmen oft so gravierend, dass darüber nicht in den IT-Foren oder Security-Boards, sondern in der Tagesschau oder den Zeitungen berichtet wird. Die Angriffe zeigen überdies, wie eng die Verzahnung der eigentlichen Wertschöpfung von Unternehmen mit der Informatik und ihren Systemen mittlerweile ist – und wie manche »Laras aus Neustadt« immer noch auf unbekannte Mails klicken, sich an Telefonen ausfragen lassen oder Systeme unbeachtet laufen lassen.

Die Welt wird wegen eines neuen Buches nicht sicherer, doch mit wachsendem Bewusstsein für die Gefahren, denen unsere Daten und Systeme heute ausgesetzt sind, lässt sich künftig wenigstens ein Teil solcher Angriffe erschweren oder verhindern.

Unser Buch soll dazu die notwendigen Anleitungen, Hilfestellungen, Erklärungen und praktischen Hinweise liefern, damit Ihnen das auch gelingen kann, – und Sie darüber hinaus auf die entsprechende Zertifizierung Ihrer Fähigkeiten als CompTIA-Security+-Techniker/-in gründlich vorbereiten.

Die folgenden Kapitel dieses Buches möchten Ihnen dazu das notwendige Wissen vermitteln und Ihnen eine Orientierung anbieten, damit Sie sich anschließend in den verschiedenen Themenbereichen der Netzwerk- und Systemsicherheit auskennen. So sind Sie auch in der Lage, sich von verschiedenen Seiten her mit der Thematik auseinanderzusetzen: von den Modellen wie IT-Grundschutz, ISO 27000 über die Bedrohungslage bis hin zur Implementation von Maßnahmen oder eines ganzen Security-Managementsystems!

Die Inhalte dieses Buches und eventuell auch ein dazugehöriges Seminar helfen Ihnen bei dem Verständnis der technischen Begriffe, der Funktionsweise von Sicherheitsmaßnahmen und den aktuellen Bedrohungen und einem praxistauglichen Vorgehen, um die Prüfung CompTIA Security+ bestehen zu können.

1.2  Die CompTIA Security+-Zertifizierung

CompTIA ist ein weltweiter Verband der Informationstechnologieindustrie. CompTIA hat Mitglieder in mehr als 100 Ländern und liefert Technologiestandards in den Bereichen internetfähige Dienstleistungen, E-Commerce, herstellerunabhängige Zertifizierung, Kundenzufriedenheit, Public Policy sowie Ausbildung. Die Arbeit von CompTIA beruht auf einem kooperierenden Mitgliedsmodell – das heißt, Hersteller, Dienstleister und Beschäftigte der IT-Industrie arbeiten bei der Formulierung und Umsetzung konkreter Ziele zusammen.

Insbesondere im Bereich der IT-Zertifizierung hat sich CompTIA weltweit einen anerkannten Ruf erworben und ist heute der größte herstellerunabhängige Anbieter von Zertifizierungen im Bereich der Informationstechnologie. Die Basis für die anerkannte Güte der CompTIA-Zertifikate ist nicht zuletzt deren gemeinschaftliche Entwicklung durch IT-Fachkräfte und Mitgliedsunternehmen. Da ein großes Problem der IT-Branche der Wildwuchs zahlreicher Fort- und Weiterbildungsmaßnahmen ist, bietet CompTIA insbesondere im Rahmen der technischen Grundausbildung hochwertige Zertifikate an, die Privatpersonen wie Unternehmen die Orientierung auf dem unübersichtlichen Fortbildungsmarkt erleichtern sollen.

Das erklärte Ziel von CompTIA ist die Etablierung von technischen und fachlichen, aber auch ethischen und professionellen Qualitätsstandards in der IT-Industrie. Indem Unternehmen wie Cisco, Hewlett-Packard, IBM, Intel, Microsoft und Ricoh die Entwicklung der Zertifikate von CompTIA finanziell und mit ihrem Know-how unterstützen, gewinnen sie gleichzeitig Anhaltspunkte über die Fachkompetenz und ein sicheres Anforderungsprofil für die Auswahl von Mitarbeitenden.

Weltweit haben mehr als zwei Millionen Menschen CompTIA-Zertifikate in Systemtechnik, Netzwerktechnologie, Serverbetreuung und anderen Gebieten erworben.

Die CompTIA Security+-Zertifizierung wendet sich an Techniker und Technikerinnen mit eigener Berufserfahrung im Informatikbereich und bescheinigt Absolventen eine breite Kenntnis auf dem Gebiet der Sicherheitstechnologie. Das bestandene Examen bedeutet, dass Geprüfte über ausreichend Wissen verfügen, um die Bedrohungslage zu verstehen und eine Reihe von Maßnahmen zu konfigurieren bzw. in Betrieb zu nehmen. Im Rahmen der Zertifizierung werden zahlreiche herstellerunabhängige Technologien behandelt. Die CompTIA Security+-Prüfung eignet sich sehr gut als Vorbereitung auf die IT-Zertifikate diverser, im Security-Sektor aktiver Hersteller.

Damit die Zertifizierung am Markt erfolgreich bleibt, wird die Prüfung durch die CompTIA regelmäßig aktualisiert und an die aktuellen Anforderungen angepasst, und so liegt mittlerweile die 701er Version von CompTIA Security+ vor. Die Inhalte der Zertifizierung werden anschließend in Lernzieldokumenten auf der Website von CompTIA unter http://www.comptia.org veröffentlicht (sogenannte »Exam Objectives«).

Die CompTIA Security+-‌Zertifizierung teilt sich in mehrere Fachgebiete, im CompTIA-Sprachgebrauch »Domains« genannt. In der aktuellen Fassung der Prüfung (SY0-701) lauten diese Themen auf Englisch wie folgt:

Domain 1 General Security Concepts (Generelle Sicherheitskonzepte)

Domain 2 Threats, Vulnerabilities and Mitigation (Bedrohungen, Schwachstellen und Abwehrmaßnahmen)

Domain 3 Security Architecture (Sicherheitsarchitektur)

Domain 4 Security Operations (Sicherer Betrieb)

Domain 5 Security Program Management and Oversight(Verwaltung und Überwachung von Sicherheitsprogrammen)

Entsprechend erhalten Sie in diesem Handbuch zur Sicherheit alle genannten Themen und ihre Zusammenhänge ausführlich erklärt und erlernen so zugleich das für die Zertifizierung notwendige Wissen. Im Zentrum steht dabei weniger die Auflistung aller möglichen und unmöglichen Abkürzungen aus diesem Bereich, sondern die Schaffung des Verständnisses für die Thematik Sicherheit. Für die Abkürzungen finden Sie zudem ein Abkürzungsverzeichnis im Anhang dieses Buches, ebenso wie eine Zuordnung der einzelnen Lernziele zu den Inhalten des Buches.

1.3  Das Weiterbildungsprogramm von CompTIA

Halten Sie Ihre Zertifizierung mit dem Weiterbildungsprogramm (CE) von CompTIA auf dem neuesten Stand. Es ist als kontinuierliche Bestätigung Ihrer Expertise und als Werkzeug zur Erweiterung Ihres Kompetenzspektrums konzipiert.

Durch die Teilnahme am Weiterbildungsprogramm von CompTIA bleiben Sie mit neuen und sich entwickelnden Technologien auf dem Laufenden und können Ihre einmal erworbene Prüfung rezertifizieren.

Ihre CompTIA-Security+-Zertifizierung ist ab dem Tag Ihrer Prüfung drei Jahre lang gültig. Das CE-Programm ermöglicht es Ihnen, Ihre Zertifizierung in dreijährigen Abständen durch Aktivitäten und Schulungen zu verlängern, die sich auf den Inhalt Ihrer Zertifizierung beziehen. Wie Security+ selbst verfügt auch CompTIA Security+ CE über einen weltweit anerkannten ISO/ANSI-Akkreditierungsstatus.

Sie können an unterschiedlichen Aktivitäten und Schulungsprogrammen teilnehmen, darunter auch an höherwertigen Zertifizierungen, um Ihre CompTIA-Security+-Zertifizierung zu erneuern. Schließen Sie CertMaster CE ab, einen Online-CE-Kurs im eigenen Tempo, oder sammeln Sie in drei Jahren mindestens 30 Continuing Education Units (CEUs), laden Sie diese auf Ihr Zertifizierungskonto hoch, und Network+ erneuert sich automatisch.

1.4  Voraussetzungen für CompTIA Security+

Gemäß der Website von CompTIA (http://www.comptia.org) sind die empfohlenen Voraussetzungen für das Bestehen der Security-Prüfung die CompTIA Network+-Zertifizierung sowie zwei Jahre Erfahrung im Netzwerkbereich mit Schwerpunkt Sicherheit oder einer Systemadministratorenrolle.

Diesen Empfehlungen stimmen die Autoren natürlich zu. Dieses Buch kann Ihnen nicht die praktische Erfahrung vermitteln, die im Bereich Netzwerktechnik nötig ist, um erfolgreich zu sein. Wenn Sie sich also auf die Zertifizierung vorbereiten möchten, lesen Sie dieses Buch, aber installieren Sie auch selbst ein Netzwerk, befassen Sie sich regelmäßig mit Sicherheitsthemen, gehen Sie in ein Training oder bauen Sie mit Kollegen eine Umgebung auf, die dafür geeignet ist, und üben Sie sich praktisch in der Erkennung von Bedrohungen, der Anwendung von Sicherheitsmaßnahmen und -konzepten.

Für weitere Informationen begeben Sie sich bitte auf die Website von CompTIA unter http://www.comptia.org/de. Details zur Prüfung finden Sie zudem in Kapitel 21, »Die CompTIA Security+-Prüfung«.

1.5  Persönliches

Wer sich zum ersten Mal mit der Thematik Informatiksicherheit befasst, wird vor allem eins feststellen: Es wimmelt nur so von Fremdwörtern und Fachbegriffen. Von Anti-Spam über Phishing bis zum Zombie ist alles vertreten, was das Alphabet zu bieten hat.

Als Autoren staunen wir manchmal selbst über die Vielfalt an Kreationen, die hier geschaffen werden – auch wir mussten nachdenken, als wir zum ersten Mal über »Whaling« gelesen haben … und längst nicht alle Begriffe verfügen über den gleichen Tiefsinn oder fachlichen Rückhalt.

Ein Buch zur Informatiksicherheit zu verfassen, ist daher eine Gratwanderung zwischen der notwendigen Vermittlung von Fachwissen und der Zurückhaltung gegen ein Überborden von Pseudofachbegriffen und (vorwiegend) Anglizismen, die mehr vorgeben, als sie wirklich bedeuten.

Wir haben uns daher beim Schreiben bemüht, Ihnen einen Überblick zu ermöglichen, sich mit den zentralen Themen vertraut zu machen und vor allem die Thematik zu verstehen, aber nicht schlicht Begriffe auswendig zu lernen – obwohl sich das prüfungstechnisch nicht ganz vermeiden lässt.

Es ist unsere feste Hoffnung, dass wir Sie mit diesem Buch für die Thematik der Informationssicherheit über die reine Prüfung hinaus sensibilisieren können, Ihnen Hilfen an die Hand geben und Sie ausrüsten für einen sinnvollen und sicheren Umgang mit Informationen und Informatikmitteln in Ihrem Umfeld.

Zu den Autoren selbst:

Mathias Gut, Master of Advanced Studies ZFH in Business Analysis und Dipl. Informatiker, ist Information- und Cyber-Security-Experte. Er ist in verschiedenen Bereichen von Sicherheitsfragen ausgebildet und zertifiziert, unter anderem als zertifizierter OSSTMM Professional Security Tester (OPST), zertifizierter ICO ISMS Auditor nach ISO/IEC 27001:2022, CompTIA Advanced Security Practitioner (CASP), CompTIA Security+, CompTIA Network+, CompTIA Linux+ und hat zusätzlich ein abgeschlossenes Zertifikat CAS Information Security & Risk Management der Fachhochschule Nordwestschweiz. Er arbeitet täglich mit Fragen der Cybersicherheit und unterrichtet zudem als Dozent im Bereich der Informationstechnik mit Schwerpunkt Cyber-Sicherheit in der höheren beruflichen Bildung. Als impulsgebender Entwickler und Mitdozent des von der HWZ verliehenen CAS Cyber Security Expert übernimmt er eine aktive Rolle in der Weiterbildungslandschaft. In seiner Freizeit setzt er sich für quelloffene Software und freie Analysemethoden ein, forscht zu Themen des Living-off-the-Land Hackings und gibt Fachreferate dazu.

Markus Kammermann, ursprünglich Theologe, später weitere Berufsausbildungen zum IT-Projektleiter und Ausbilder, SCRUM Master, CompTIA Security+ und weitere Zertifizierungen, ist Autor mehrerer Fachbücher aus der CompTIA-Zertifizierungsreihe bei mitp. Allen voran das bereits in 9. Auflage erschienenen Grundlagenwerks »CompTIA Network+« sowie das in 6. Auflage verlegten Studienwerks »CompTIA A+«. Er arbeitet seit vielen Jahren als technischer Berater, Dozent und Referent in verschiedenen Ländern und ist in seiner Seele ein »Erklärer«, der nach wie vor selbst IT-Infrastruktur konzipiert, vernetzt und installiert und somit die Sicherheit in der IT tagtäglich mit seinen Kunden erlebt, auch und gerade, wenn sie nicht funktioniert. Als Dozent in der höheren beruflichen Bildung und Autor ist es ihm wichtig, nicht nur Sachverhalte darzulegen, sondern sie verständlich zu machen, denn Lernen lebt nicht vom Hören, sondern vom Verstehen und Befähigt werden.

Wir danken Herrn Rechtsanwalt Christian Mitscherlich (Partner), Herrn Rechtsanwalt Fokko Oldewurtel (Senior Associate) und Herrn Andreas Schäfer (Senior Associate) von der Kanzlei Domenig & Partner Rechtsanwälte AG für ihren wertvollen Beitrag zu den Themen Datenschutz, Cybercrime und KI-Recht. Ihre Kanzlei Domenig & Partner Rechtsanwälte AG aus Bern besteht aus führenden Datenschutzexperten der Schweiz, die an der Redaktion des neuen schweizerischen Datenschutzgesetzes mitgewirkt haben. Private Unternehmen und die öffentliche Hand zählen bei der Bewältigung ihrer datenschutzrechtlichen Herausforderungen auf die Hilfe des Datenschutzrechtsteams der Domenig & Partner Rechtsanwälte AG.

Anlässlich der anwaltlichen Beratung beschäftigen sich die Autoren täglich mit der Umsetzung von Vorgaben der DSGVO und des neuen schweizerischen Datenschutzgesetzes. Diese umfangreiche Praxiserfahrung ließen die Autoren bei der Redaktion des neuen Kapitels Kapitel 4, »Rechtliche Grundlagen«, der fünften Auflage dieser Publikation einfließen.

Bedanken möchten wir uns an der Stelle auch bei Markus a Campo, der an der ersten Auflage aktiv mitgearbeitet und damit etliche Vorarbeit vor allem zur 2. Auflage beigetragen hat. Er arbeitet als Berater, Autor und Schulungsreferent mit dem Schwerpunkt IT-Sicherheit. Er ist von der IHK Aachen öffentlich bestellter und vereidigter Experte im Bereich IT-Sicherheit.

Bedanken möchten wir uns an dieser Stelle zudem ausdrücklich bei den Herstellern und ihren Kommunikationsabteilungen, die uns mit Bildmaterial und Unterlagen unterstützt haben.

Ebenso möchten wir uns an dieser Stelle beim mitp-Verlag bedanken und persönlich bei Katja Völpel – ja, wir haben wieder einen Titel zusammen publiziert, und das ist erfreulich.

Und da dies heute ein aktuelles Thema ist: Dieses Buch wurde auch in der fünften Auflage nicht mit KI-basierten Tools erstellt oder revidiert, und wir haben die KI auch nicht um ihre Meinung zu unserem Buch befragt.

Wir wünschen Ihnen viele spannende Stunden, ob in einem E-Book am Tablet bzw. Computer oder mit einem gedruckten Exemplar, was übrigens, so als Randnotiz, immer noch mehr als 90 % aller Leser und Leserinnen vorziehen, und nein, diese Zahl stammt nicht von 2015 aus der ersten Auflage ...

Lernen Sie in diesem Kapitel:

Wie Sie sich selbst für Gefahren sensibilisieren können

Welche Gefahrenlage vorhanden ist

Die verschiedenen Gefahrenkategorien unterscheiden

Welche Modelle zur Informationssicherheit entwickelt worden sind

Die Bedeutung von CIA in der Informationssicherheit kennen

Wie Sie die Bedeutung des Begriffs »IT-Grundschutz« einordnen und mit konkretem Inhalt füllen können

Welche praktischen Ansätze Sie selbst verfolgen können

3.1  Fangen Sie bei sich selbst an

Lesen Sie daher an dieser Stelle bitte den Text in Kapitel 1 noch einmal in Ruhe durch. Notieren Sie sich dabei auf einem Blatt Papier alle Ereignisse im Bericht von Lara, an denen Informationen in Form von Daten, Dokumenten oder Gesprächen weitergegeben werden. Blättern Sie jetzt also zurück und lesen Sie …

Haben Sie den Text noch einmal gelesen? Und sich dabei Notizen gemacht?

Fragen Sie sich jetzt nach dem Lesen anhand Ihrer Notizen, wer an diesen Informationen Interesse haben könnte, und notieren Sie sich, ob diese Interessenten berechtigter- oder unberechtigterweise daran interessiert sind.

Und jetzt gehen Sie den letzten Schritt in dieser Situation: Was passiert, wenn diese Informationen in falsche Hände gelangen? Und wie groß sind die Risiken, wenn Sie die einzelnen Tatbestände Revue passieren lassen?

Damit haben Sie sich mit Ihren Antworten selbst die Ausgangslage geschaffen, warum die Thematik »Sicherheit« von Bedeutung sein kann und vielerorts auch sein muss.

Stellen Sie sich an diesem Punkt doch einmal folgende konkrete Fragen zu Ihrem eigenen Umfeld, in dem Sie arbeiten:

Wie wird bei Ihnen im Unternehmen der Internetzugang der Mitarbeitenden geregelt? Gibt es dafür Richtlinien oder Beschränkungen?

Verfügen Sie über drahtlose Netzwerke und wie sind diese eingerichtet?

Verfügen Ihre Mitarbeitenden über Installationsrechte auf den eigenen Systemen, an denen sie arbeiten?

Werden in Ihrem Unternehmen Notebooks eingesetzt? Und wie werden diese aktualisiert sowie auf mögliche Gefährdungen überprüft?

Wissen Sie, welche Ports wozu auf Ihren Firmen-Firewalls offen sind?

Wie häufig müssen Ihre Mitarbeitenden Passwörter für den Systemzugang wechseln? Und wie viele Passwörter müssen die Mitarbeitenden kennen?

Wer darf in Ihrem Unternehmen Auskünfte an externe Personen erteilen?

Wie ist der Umgang mit E-Mails geregelt? Wer darf was lesen, anhängen, versenden, öffnen, weiterleiten oder speichern?

Nehmen Sie sich auch hier die Zeit, um Ihre persönlichen Antworten zu diesen Fragen zu notieren. Dann lesen Sie weiter, und Sie erfahren mehr über die Risiken im Umgang mit Informationen und Informationstechnik.

Die Sache ist eigentlich ganz einfach:

Wenn es auf der Welt eine konkrete Gefahr gibt und Sie genau in dem Bereich Ihres Unternehmens eine Anwendung oder ein System betreiben – dann erleben Sie eine mögliche Bedrohung Ihrer Sicherheit.

Angewandt heißt das: Wenn die Butter auf dem Markt für die nächsten zwei Wochen nur knapp erhältlich ist und Ihr Kuchen nächsten Samstag aus 30 % Butter besteht und sonst nicht gebacken werden kann, dann ist das Gelingen Ihres Kuchens bedroht – wäre auch schade, oder?

Komplizierter geht es natürlich auch, läuft aber auf dasselbe hinaus: Wenn Sie die möglichen Risiken in Bezug auf die bestehenden Anlagen, Prozesse, Programme und Benutzer von IT-Systemen kennen und dazu eine Analyse der bei Ihnen vorhandenen Ressourcen und eingesetzten Lösungen erstellen, bildet die Schnittmenge der beiden Ereignisgruppen den Schutzbedarf für Ihre Informationssicherheit und bildet die reale Bedrohungslage ab.

Die Hauptsache ist, Sie verstehen, dass die für Sie reale Bedrohung aus der Kombination von möglichen Gefahren »draußen« und den bei Ihnen eingesetzten Mitteln und Möglichkeiten ersichtlich ist. Verbringen Sie also mehr Zeit mit der Analyse Ihrer eigenen Prozesse, Anlagen und der Informationsinfrastruktur als mit dem Lesen aller Schauergeschichten und fokussieren Sie auf die Implementation von Sicherheit in Ihrem konkreten Umfeld.

3.2  Die Gefahrenlage

Informationen bilden die Grundlage für viele Prozesse, digitale ebenso wie physische. So werden aus Lieferdaten Rechnungen erstellt und aus Konstruktionsplänen Maschinen gebaut. Die Informationen bilden somit einen Teil oder zumindest die Grundlage für die Wertschöpfung des Unternehmens ab. Und zwar lange vor der Informatik.

Wer also selbst keine Idee dazu hatte, wie man eine Brücke stabil bauen kann, konnte versuchen, den Bauplan des Konkurrenten zu entwenden. Das war allerdings aufwendig, denn man musste persönlich vor Ort erscheinen oder einen Räuber schicken. Heute läuft das etwas anders. Fragen Sie mal all die ausgemusterten Industriespione, die jetzt umschulen müssen, weil sehr vieles über Informatik abgewickelt wird – selbst in deren Business.

Die meisten geschäftsrelevanten Informationen werden heute mithilfe der Informatik und zunehmend auch mit Hilfe von künstlicher Intelligenz (KI) erstellt, bearbeitet, gespeichert und transportiert. Das gilt für Konstruktionspläne von Maschinenbetrieben ebenso wie für die Anmeldedaten des privaten Bankkontos zu Hause. Ebenso zahlreich ist die Anzahl von Geschäftsprozessen, die ohne eine zuverlässige Informatik gar nicht mehr denkbar sind. Aus dieser Verknüpfung von Information und Informatik ergibt sich der hier angestrebte Fokus auf die Informationssicherheit.

Was sich nicht geändert hat: Räuber gibt es immer noch – aber es wäre zu einfach, die Aufzählung von Gefahren an dieser Stelle zu beenden. Die möglichen Gefahren in Zusammenhang mit der informationstechnischen Aufbereitung, dem Transport und der Lagerung von Daten können ganz unterschiedlicher Herkunft sein:

Irrtümer oder Fehler der eigenen Mitarbeitenden im Umgang mit Systemen und Anwendungen, die zu Fehlern oder Verlust von Informationen führen

Hard- oder Softwaremängel

Defekte an Systemen und Netzwerkkomponenten

Ausfall von Verbindungsleitungen

Fehlende Dokumentation, die keinen Rückschluss mehr auf die Information ermöglicht

Höhere Gewalt wie Feuer oder Wasser

Bösartige Programme wie Viren, Würmer und Trojaner

Informationsdiebstahl

Spionage

Hacking, d.h. bewusstes Eindringen in Systeme und Netzwerke

Sabotage zur Störung von technischen Anlagen

Die Häufung der Gefahren kann sich von Jahr zu Jahr immer wieder verändern, und Sie finden dazu auch unterschiedliche Quellen, die es lohnt zu studieren, um diese Veränderungen wahrzunehmen. Gute Quellen dafür sind in der Schweiz die Halbjahresberichte des NCSC (ehemals MELANI, Meldestelle für Informationssicherheit), in Deutschland das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder das folgende Beispiel, das der Bundesverband Informationswissenschaft, Telekommunikation und Neue Medien e.V. (Bitkom) im Herbst 2018 unter dem Titel »Die zehn größten Gefahren des Internets« publiziert hat (siehe Abbildung 3.1).

Was in dieser Grafik und vielen anderen solchen Darstellungen gerne vergessen wird: Der Trojaner oder die Schadsoftware sind nicht darum auf Platz Nummer 1 oder 2, weil sie dies technisch erzwingen können. Sondern weil Menschen sich dazu bewegen lassen, auf solche Angriffe, gefälschte Mails, Links, täuschende Webseiten etc. zu klicken, und dadurch den Schädling auf ihr System befördern – der Faktor Mensch spielt bei vielen dieser Gefahren eine zentrale Rolle und muss daher in einer solchen Statistik immer mit berücksichtigt werden.

Auf die Gefahren im Einzelnen werden Sie in den folgenden Kapiteln genauer hingewiesen.

Eine zweite Form der Statistik neben der Häufigkeit oder Wahrscheinlichkeit sind die Schadensstatistiken. In ihnen wird erhoben, welche Form von Gefahren real die größten Schäden verursachen – sofern die Betroffenen denn die Zahlen herausrücken.

So schreibt etwa die Lohmann-Gruppe in einem Bericht zur Sensibilisierung an die eigenen Mitarbeitenden im Mai 2015 mit Bezug auf Quellen von Symantec, Focus und der FAZ:

»Mit diesem Flyer möchten wir Ihnen die enorme Wichtigkeit dieses Themas noch einmal in Erinnerung rufen und Sie dazu anhalten, Ihren Beitrag dazu zu leisten, mögliche Gefahren für unser Unternehmen abzuwenden. In Deutschland entstehen pro Jahr drastische Schäden:

3,4 Mio. € Schaden durch Datenverlust

50 Mrd. € Schaden durch Hackerangriffe

100 Mrd. € Schaden durch Wirtschaftsspionage«

Oder nehmen Sie das jüngste Beispiel vom Frühling 2024, als in London mehrere Kliniken wegen eines breit angelegten Cyberangriffs Operationen absagen oder verschieben mussten, weil Hacker wichtige Systeme und Daten verschlüsselt hatten.

Wie erwähnt, die Zahlen sind kaum akkurat belegbar, zu groß ist die Dunkelziffer der Unternehmen, die Schäden lieber nicht bekannt geben – aber sie geben eine Größenordnung an, und diese wiederum belegt, dass es bei Schäden, die im Bereich Informationssicherheit liegen, nicht um Bagatellen geht.

Auffällig ist in den letzten Jahren die deutliche Kriminalisierung der Gefahrenlage. Mit ihr einher geht die entsprechende Professionalisierung dieser Szene. Der »einsame Hacker« oder der »gelangweilte Virenschreiber« steht längst nicht mehr im Fokus. Stattdessen organisieren sich kriminelle Kreise, und die finanziellen Aspekte geraten mehr und mehr ins Zentrum des Interesses. Und dies über fast alle der vorhin aufgezählten zehn größten Gefahren hinweg, mit Ausnahme der rein technisch bedingten Ausfälle (Defekte).

Auch hierzu werden Sie bei den einzelnen Angriffsformen und Bedrohungsszenarien genauere Informationen im Lauf dieses Buches erfahren.

3.3  Die Analyse der Bedrohungslage

Die Gefahren lauten somit zusammengefasst:

Menschliches Versagen

Technische Defekte

Vorsätzliche Handlungen bzw. Angriffe

Gesetzliche und vertragliche Mängel

Höhere Gewalt

Ob dadurch für Sie eine Bedrohung entsteht, ist damit aber keinesfalls gesagt. Denn dazu müssen Sie zuerst wissen, ob Sie von diesen Gefahren betroffen sind. Und hierzu benötigen Sie eine Analyse! Zumindest können Sie sich fragen:

Beschäftigen Sie Mitarbeitende? Haben Sie eigene Server und Maschinen? Ist Ihr Netzwerk mit dem Internet verbunden? Haben Sie ein Gebäude, in dem Sie alles unterbringen? Hängen Ihre Wertschöpfungsprozesse an elektronischer Informationsverarbeitung und Workflows oder elektronischen Datenbeständen?

Es dürfte Ihnen schwerfallen, alle diese Fragen mit »Nein« zu beantworten. Schon erahnen Sie, dass es wohl zwischen diesen Gefahren und Ihren eigenen Gegebenheiten tatsächlich eine relevante Schnittmenge geben wird – und damit eine aktuelle und für Sie zutreffende Bedrohungslage, um die Sie sich kümmern sollten.

Und hier setzt die Informationssicherheit ein und damit auch Ihre Aufgabe, wenn Sie im Bereich der Informationssicherheit tätig sind oder sein möchten.

3.4  Kategorien der Informationssicherheit

Die Informationssicherheit, auch IT-Sicherheit oder vereinfacht und nicht wirklich zutreffend genug Datensicherheit genannt, bedient sich zur Beschreibung des Schutzes vor Schaden dreier Kategorien, die auch die drei Grundsäulen der Informationssicherheit genannt werden:

Vertraulichkeit‌

Integrität‌

Verfügbarkeit‌

Vertraulichkeit gewährleistet, dass die jeweiligen Informationen und Daten ausschließlich dem dafür vorgesehenen Benutzerkreis zur Verfügung gestellt werden, und verhindert, dass irgendjemand anderes Einblick in diese Daten und Informationen erhalten kann, weder im gespeicherten, transportierten noch geöffneten oder zu bearbeitenden Zustand.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf »Daten« angewendet wird, drückt er aus, dass die Daten vollständig und nicht manipuliert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf »Informationen« angewendet. Den Informationen können je nach Zusammenhang bestimmte Attribute wie z.B. Autor oder Zeitpunkt der Erstellung zugeordnet werden. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Die Verfügbarkeit von Informationen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzwerken ist durch ihre Präsenz innerhalb einer geeigneten Frist sicherzustellen. Das heißt, die Daten dürfen nicht fehlen oder verloren sein, die Programme dürfen nicht fehlerhaft und die Infrastruktur muss betriebsbereit sein. Die Verfügbarkeit ist eine Gewährleistung für den sicheren IT-Betrieb.

Anders formuliert heißt das:

Es darf auf keine Weise und niemandem möglich sein, zufällig oder unberechtigt Daten zu verändern (Integrität).

Nur wer berechtigt ist, darf Zugriff auf für ihn oder sie bestimmte Daten und Bearbeitungsmöglichkeiten erhalten (Vertraulichkeit).

Die Daten müssen jederzeit verlustfrei zur Verfügung stehen (Verfügbarkeit).

Auf Englisch bestehen dafür die Begriffe Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) und daraus abgeleitet die Abkürzung CIA‌, die Sie in diesem Zusammenhang antreffen, auch in den Bezeichnungen von CompTIA.

Als vierte Kategorie kann die Verbindlichkeit, auch Authentizität oder Non-Repudiation genannt werden. Die Verbindlichkeit betrifft vor allem die elektronische Datenübertragung und stellt sicher, dass zur Herkunft und Beschaffenheit der Daten keine Zweifel bestehen dürfen. Sie müssen also authentisch sein oder eben »nicht abstreitbar«. Dies hat besondere Bedeutung im elektronischen Zahlungsverkehr und bei Verträgen, wo es um die absolute Unversehrtheit von Daten geht.

Die Implementation dieser drei Grundsäulen (bzw. natürlich aller vier Kategorien) geschieht minimal durch einzelne Sicherheitsmaßnahmen, besser anhand eines Sicherheitskonzepts, und am besten anhand eines Informationsicherheits-Managementsystems, wie es verschiedene Sicherheitsmodelle vorschlagen, zu denen Sie gleich mehr erfahren werden.

Die Realisation des Schutzes von Informatiksystemen und -daten wird wiederum in drei Kategorien unterteilt:

Physische Sicherheit

Technische Sicherheit

Organisatorische Sicherheit

Die physische Sicherheit‌kümmert sich um Bedrohungen und Maßnahmen, die baulich oder gebäudebezogen sind, wie etwa der Hochwasserschutz für einen Serverraum oder die Stromversorgung von IT-Systemen.

Die technische Sicherheit‌kümmert sich um alle Risiken und Maßnahmen im Zusammenhang mit den eigentlichen Systemen. Viren und deren Bekämpfung, die Implementierung von Verschlüsselungstechnologien oder der Schutz von Netzwerken sind Themen dieser Kategorie.

Die organisatorische Sicherheit‌kümmert sich letztlich um alle Fragen der Organisation, etwa wer für die Datensicherung zuständig ist, wie häufig ein Passwort gewechselt werden muss oder wer die Meldeliste für Notfälle führt.

Aus operationaler Sicht ergeben sich damit für Techniker und Administratoren unterschiedliche Felder, die es in allen drei obigen Bereichen zu berücksichtigen gilt:

Infrastruktur und übergeordnete Werte

Computer und Netzwerke

Sicherheitsmanagement und Richtlinien

Authentifikation und Zugriffsrechte

Datensicherung und -sicherstellung

Gesetzliche Aspekte wie die Sicherstellung des Datenschutzes und dessen unmittelbare Folgen für die Informationssicherheit

Gerade das Sicherheitsmanagement und die dazugehörigen Richtlinien sind aber nicht einzig das Gebiet der technischen Verantwortlichen, da es für die Implementierung dieser Themen zwingend die Unterstützung der Betriebsleitung braucht. Sicherheitsverantwortliche können und müssen die notwendigen Vorschläge einbringen. Doch nur, wenn die Sicherheitspolitik durch das Management getragen und gefördert wird, kann sie im Unternehmen auch wirklich umgesetzt werden. Und damit kommen Sie zum nächsten Thema: den Lösungsansätzen für die Sicherheitsproblematik.

Den folgenden Sachverhalt werden Sie in diesem Buch sicher mehr als einmal in ähnlicher Form wieder antreffen. Aber er ist zentral: Sicherheit geht alle an. Für die Informationssicherheit bedeutet dies darum zuerst: Die Verantwortung beginnt ganz oben – sie lässt sich nicht an die IT oder externe Partner delegieren, sondern muss vom Management getragen und gefördert werden. Wichtige Entscheidungen wie »Welche Risiken tragen wir?« oder »Welche Mittel setzen wir für die Sicherheit ein?« müssen durch das Management proaktiv gefällt und danach zur Ausführung an die zuständigen Stellen weitergegeben werden. Und anschließend werden alle informiert und involviert, bis hin zur Schulung des Sicherheitsbewusstseins für alle Mitarbeitenden.

3.5  Modelle und Lösungsansätze

Über die Jahre haben sich verschiedene Ansätze, ja selbst ganze Modelle zum Thema Informationssicherheit entwickelt. In diesem Übersichtskapitel geht es darum, Ihnen die übergeordneten Modelle und Ansätze vorzustellen.

In direkter oder indirekter Form orientieren sich diese Modelle alle an den drei eben vorgestellten Grundsäulen der Sicherheit, von daher überschneiden sie sich auch. Sie gehen aber unterschiedliche Wege, was ihre Umsetzbarkeit und Tiefe anbelangt.